Debians sikkerhedsbulletin
DSA-3203-1 tor -- sikkerhedsopdatering
- Rapporteret den:
- 22. mar 2015
- Berørte pakker:
- tor
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2015-2688, CVE-2015-2689.
- Yderligere oplysninger:
-
Flere lammelsesangrebsproblemer er opdaget i Tor, et forbindelsesbaseret anonymt kommunikationssystem med lav latenstid.
Jowr opdagede en meget høj DNS-forespørgselsbelastning på et relay, kunne udløse en assertionfejl.
Et relay kunne gå ned med en assertionfejl, hvis en buffer med nøjagtigt det forkerte layout blev leveret til buf_pullup() på præcis det forkerte tidspunkt.
I den stabile distribution (wheezy), er disse problemer rettet i version 0.2.4.26-1.
I distributionen testing (jessie) og i den ustabile distribution (sid), er disse problemer rettet i version 0.2.5.11-1.
Yderligere deaktiverer denne opdatering understøttelse af SSLv3 i Tor. Alle versions af OpenSSL, som anvendes med Tor i dag, understøtter TLS 1.0 eller senere.
Desuden opdateres med denne udgivelse geoIP-databasen, som anvendes af Tor, samt listen over directory-myndighedsservere, som Tor-klienter anvender til bootstrap og som underskriver Tors directory-koncensusdokument.
Vi anbefaler at du opgraderer dine tor-pakker.